Защита Debian путём внедрения обязательного контроля доступа через SELinux для максимальной безопасности системы

[sohmstyle]

Проблема с SELinux - мало администраторов, имеющих хороший опыт поддержки и работы с SELinux.

Это сказывается на рисках поддержки этой системы.

Вот уволится администратор, который внедрил, настроил все политики безопасности, и который поддерживает всё в актуальном состоянии, то замучаетесь искать человека.

И будут сложности в сопровождении системы. А потом будет по классике:

setenforce 0

Каждый бизнес пусть сам решает брать такие риски или нет.

[anzay911]

Можно документировать применённые политики. И задокументировать последовательность действий при обновлениях.

[sivkaburka]

Замечания к статье:
1) Добавьте переводы строк в листинге команд

2) В статье пропущен шаг с включением Enforcing-режима в файле /etc/selinux/config

[Manrus]

Интересно, насколько это лучше или хуже виртуализации ?

[Olegooro]

Надеюсь это не толстый троллинг, - Не лучше и не хуже, сравнение некорректно т.к эти технологии имеют разное назначение. Но как одна из составляющих SElinux используется для контейнеризации приложений.

[Fafhrd]

Зачем в Debian тащить selinux, если есть apparmor?

[David_Osipov]

SELinux более мощная и жёсткая штука, но и более запарная по настройке. Лично я использую systemd-sandboxing с AppArmor.